Google'ın Takvim uygulaması bilgisayar korsanları tarafından istismar edilebilir.

Hacker News'e göre Google, birden fazla siber saldırganın, şirketin takvim hizmetini komuta ve kontrol (C2) altyapısı depolamak için kullanmayı amaçlayan güvenlik açıklarını kamuoyuyla paylaştığı konusunda uyarıda bulundu.

Google Calendar RAT (GCR) olarak adlandırılan bu araç, uygulamanın etkinlik özelliklerini kullanarak komutlar veriyor ve bir Gmail hesabı üzerinden uygulamayı kontrol ediyor. Program ilk olarak Haziran 2023'te GitHub'da yayınlandı.

Güvenlik araştırmacısı MrSaighnal, kodun Google'ın takvim uygulamasındaki etkinlik açıklamalarını kullanarak gizli bir kanal oluşturduğunu söyledi. Google, sekizinci Tehdit Raporu'nda, aracın pratikte kullanıldığını gözlemlemediğini, ancak Mandiant tehdit istihbarat biriminin yeraltı forumlarında kavram kanıtı (PoC) istismarlarını paylaşan çeşitli tehditler tespit ettiğini belirtti.

Google, GCR'nin ele geçirilmiş bir makinede çalıştığını, periyodik olarak olay tanımlayıcılarını yeni komutlar için taradığını, bunları hedef cihazda yürüttüğünü ve tanımlayıcıları bir komutla güncellediğini söylüyor. Bu aracın meşru altyapı üzerinde çalışması, şüpheli faaliyetleri tespit etmeyi çok zorlaştırıyor.

Bu olay, tehditlerin bulut hizmetlerini kötüye kullanarak kurbanların cihazlarına sızma ve gizlenme konusundaki endişe verici sorununu bir kez daha gündeme getiriyor. Daha önce, İran hükümetiyle bağlantılı olduğu iddia edilen bir hacker grubu, makro kod içeren belgeler kullanarak Windows bilgisayarlarda bir arka kapı açmış ve aynı anda e-posta yoluyla kontrol komutları göndermişti.

Google, arka kapı yazılımının, bilgisayar korsanlarının kontrolündeki web posta hesaplarına bağlanmak için IMAP kullandığını, e-postaları analiz ederek komutlar çıkardığını, bunları çalıştırdığını ve sonuçları içeren e-postaları geri gönderdiğini belirtti. Google'ın tehdit analiz ekibi, kötü amaçlı yazılımın kanal olarak kullandığı saldırganların kontrolündeki Gmail hesaplarını devre dışı bıraktı.